起因
最近自己的frp服务器上,老是会被一些莫名其妙的人尝试暴力破击我的远程链接密码,虽然16位大小写数字加特殊字符的密码很难破解,但看着也烦,还影响心情。于是打算自己写一个小工具,分析破解的IP所在地和攻击频率,将它加到防火墙中去直接屏蔽。
步骤分析
1、监听日志
frp 0.36之后的版本是有tcp连接的日志的,格式为
2021/08/24 12:04:04 [I] [proxy.go:162] [70107e20979a59c9] [ZNGW] get a user connection [119.1.97.214:3807]
只要实时监听日志文件,并从这个格式中提取出我们需要的 配置的TCP转发名(ZNGW)和请求者IP(119.1.97.214) 就可以了
2、获取IP地理位置
可以通过获取ip位置的一些api接口获取,如http://ip-api.com/json/ip地址字串
?lang=zh-CN
{
status: "success",
country: "中国",
countryCode: "CN",
region: "GZ",
regionName: "贵州",
city: "兴义",
zip: "",
lat: 25.0502,
lon: 104.9877,
timezone: "Asia/Shanghai",
isp: "Chinanet",
org: "Chinanet GZ",
as: "AS4134 CHINANET-BACKBONE",
query: "119.1.97.214"
}
3、根据配置规则决定是否限制
可以指定一张规则表,什么地方的ip可以访问,什么地方的ip不能访问,什么地方的ip访问有频率限制等
# 规则访问
rules:
# 按数组顺序来,匹配到了就按匹配的规则执行,跳过此规则。
# 地区以 http://ip-api.com/json/?lang=zh-CN 查询的结果为准
# 端口: -1 所有端口
# time: 时间区间
# count: 访问次数,-1不限,0限制。其他为 time时间内访问count次,超出频率就限制
- # 中国上海IP允许
port: -1
country: 中国
regionName: 上海
city: 上海
time: 1
count: -1
- # 中国地区IP跳过地域判断
port: -1
country: 中国
regionName:
city:
time: 600
count: 3
- # 其他地区IP禁止
port: -1
country:
regionName:
city:
time: 1
count: 0
4、加入防火墙
linux有iptables和firewall二种防火墙,win中有Microsoft Defender,这些都是可以通过命令行来添加拒绝通过的规则的。
- iptables:
iptables -I INPUT -s 119.1.97.214 -j DROP
- firewall:
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="119.1.97.214" reject"
- Microsoft Defender:
netsh advfirewall firewall add rule name=119.1.97.214 dir=in action=block protocol=TCP remoteip=119.1.97.214
大致思路是这样,然后抽空花了点时间,用Go写了一个这样的小工具。完整代码:https://github.com/zngw/frptables
测试
目前已经在frp服务器上运行1天了,效果还是有的,可以明显看日志文件链接数变少了,也添加了几个明显的攻击者IP到防火墙中
网友评论